Скрытая опасность: анализ мошенничества с подделкой подписи Uniswap Permit2
Хакеры являются устрашающим существом в экосистеме Web3. Для проектов открытый код вызывает страх, опасаясь, что одна строка ошибочного кода может привести к уязвимости безопасности. Для пользователей каждый раз, когда они взаимодействуют с цепочкой или подписывают что-то, это может угрожать безопасности их активов, если они не понимают смысл операций. Поэтому проблема безопасности всегда была одной из самых сложных в мире криптовалют. Из-за необратимого характера блокчейна украденные активы почти невозможно вернуть, что делает знание о безопасности особенно важным в мире криптовалют.
Недавно привлекло внимание новое мошенническое пособие. Этот метод чрезвычайно скрытен и трудно предотвратить, достаточно просто подписать, чтобы активы были украдены. Более того, адреса, которые когда-либо взаимодействовали с Uniswap, могут оказаться под угрозой. В этой статье подробно анализируется этот метод мошенничества с подписями, чтобы помочь читателям избежать потери активов.
Ход событий
Дело в том, что один друг ( сообщил о краже активов, называемых малым A). В отличие от обычных случаев кражи, малый A не раскрыл свой приватный ключ и не взаимодействовал с подозрительными контрактами. Дальнейшее расследование показало, что USDT малого A был переведен с помощью функции Transfer From. Это означает, что третья сторона управляла тем, чтобы токены были переведены, а не произошла утечка приватного ключа.
Детали сделки показывают:
Адрес, оканчивающийся на fd51, перевел активы Маленького А на другой адрес
Эта операция выполняется через взаимодействие с контрактом Permit2 от Uniswap
Ключевой вопрос заключается в том, как адрес fd51 получил права на управление активами Xiao A? Почему это связано с Uniswap?
Глубокий анализ показал, что перед передачей активов маленького A адрес fd51 также выполнил операцию Permit, и эти два действия взаимодействовали с контрактом Permit2 Uniswap.
Анализ контракта Uniswap Permit2
Uniswap Permit2 - это новый контракт, выпущенный в конце 2022 года. Он позволяет делиться и управлять токенами авторизации между различными приложениями, с целью создания более унифицированного, более экономически эффективного и более безопасного пользовательского опыта.
Цель Permit2 состоит в снижении затрат на взаимодействие пользователей. В традиционной модели пользователю необходимо отдельно предоставлять разрешение при каждом взаимодействии с различными Dapp. Permit2 выступает в роли посредника, и пользователю нужно предоставить разрешение только один раз для Permit2, чтобы все Dapp, интегрированные с Permit2, могли использовать это разрешение.
Хотя этот способ улучшает пользовательский опыт, он также приносит новые риски. Permit2 преобразует действия пользователя в подписи вне цепи, все операции в цепи выполняются промежуточной стороной. Это позволяет пользователям завершать сделки даже без ETH, но одновременно увеличивает риск злоупотребления подписями.
Анализ методов рыбалки
Ключ к фишинговой атаке заключается в использовании функции permit контракта Permit2. Эта функция позволяет пользователям авторизовывать другие адреса на использование своих токенов с помощью подписи. Получив подпись пользователя, злоумышленник может передать активы пользователя через контракт Permit2.
Процесс атаки следующий:
Пользователь ранее выполнял операции авторизации на платформах, интегрированных с Permit2, таких как Uniswap.
Нападающий подталкивает пользователя подписать на вид безобидное сообщение
Атакующий использует подпись для вызова функции permit контракта Permit2.
Контракт Permit2 проверяет действительность подписи и обновляет полномочия
Атакующий вызывает функцию transferFrom для перевода активов пользователя после получения разрешения.
Стоит отметить, что Uniswap's Permit2 по умолчанию запрашивает неограниченный лимит разрешений, что еще больше увеличивает риск.
Рекомендации по предотвращению
Научитесь распознавать и понимать содержание подписи, особенно если это касается подписи, связанной с Permit.
Использование стратегии разделения горячих и холодных кошельков, интерактивный кошелек должен хранить лишь небольшую сумму средств.
При авторизации контракта Permit2 разрешайте только необходимую сумму или своевременно отменяйте избыточные разрешения.
Узнайте, поддерживает ли ваши токены функцию permit, будьте осторожны с соответствующими сделками.
Если вы, к сожалению, столкнетесь с атакой, и у вас есть активы на других платформах, необходимо разработать полноценный план по перемещению активов.
С расширением области применения Permit2, основанные на этом фишинговые атаки могут становиться все более частыми. Этот способ фишинга с использованием подписи крайне скрытен и труден для предотвращения, надеюсь, что читатели смогут повысить бдительность и поделиться соответствующими знаниями с большим числом людей, чтобы совместно защитить безопасность активов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
21 Лайков
Награда
21
5
Поделиться
комментарий
0/400
SandwichHunter
· 07-31 06:02
Учи на своих ошибках, не подписывайся наугад.
Посмотреть ОригиналОтветить0
MetaverseLandlady
· 07-30 22:59
Маленьким неудачникам нужно быть более осторожными.
Посмотреть ОригиналОтветить0
OnChainDetective
· 07-29 14:56
отслеживались множественные эксплойты permit2... паттерн показывает, что 47% жертв имели предыдущие взаимодействия с uni. это не случайно.
Посмотреть ОригиналОтветить0
0xSherlock
· 07-29 14:52
Боюсь, боюсь... лучше использовать маленький аккаунт для U.
Новая схема мошенничества с подделкой подписей Uniswap Permit2: риски кражи активов и стратегии предотвращения
Скрытая опасность: анализ мошенничества с подделкой подписи Uniswap Permit2
Хакеры являются устрашающим существом в экосистеме Web3. Для проектов открытый код вызывает страх, опасаясь, что одна строка ошибочного кода может привести к уязвимости безопасности. Для пользователей каждый раз, когда они взаимодействуют с цепочкой или подписывают что-то, это может угрожать безопасности их активов, если они не понимают смысл операций. Поэтому проблема безопасности всегда была одной из самых сложных в мире криптовалют. Из-за необратимого характера блокчейна украденные активы почти невозможно вернуть, что делает знание о безопасности особенно важным в мире криптовалют.
Недавно привлекло внимание новое мошенническое пособие. Этот метод чрезвычайно скрытен и трудно предотвратить, достаточно просто подписать, чтобы активы были украдены. Более того, адреса, которые когда-либо взаимодействовали с Uniswap, могут оказаться под угрозой. В этой статье подробно анализируется этот метод мошенничества с подписями, чтобы помочь читателям избежать потери активов.
Ход событий
Дело в том, что один друг ( сообщил о краже активов, называемых малым A). В отличие от обычных случаев кражи, малый A не раскрыл свой приватный ключ и не взаимодействовал с подозрительными контрактами. Дальнейшее расследование показало, что USDT малого A был переведен с помощью функции Transfer From. Это означает, что третья сторона управляла тем, чтобы токены были переведены, а не произошла утечка приватного ключа.
Детали сделки показывают:
Ключевой вопрос заключается в том, как адрес fd51 получил права на управление активами Xiao A? Почему это связано с Uniswap?
Глубокий анализ показал, что перед передачей активов маленького A адрес fd51 также выполнил операцию Permit, и эти два действия взаимодействовали с контрактом Permit2 Uniswap.
Анализ контракта Uniswap Permit2
Uniswap Permit2 - это новый контракт, выпущенный в конце 2022 года. Он позволяет делиться и управлять токенами авторизации между различными приложениями, с целью создания более унифицированного, более экономически эффективного и более безопасного пользовательского опыта.
Цель Permit2 состоит в снижении затрат на взаимодействие пользователей. В традиционной модели пользователю необходимо отдельно предоставлять разрешение при каждом взаимодействии с различными Dapp. Permit2 выступает в роли посредника, и пользователю нужно предоставить разрешение только один раз для Permit2, чтобы все Dapp, интегрированные с Permit2, могли использовать это разрешение.
Хотя этот способ улучшает пользовательский опыт, он также приносит новые риски. Permit2 преобразует действия пользователя в подписи вне цепи, все операции в цепи выполняются промежуточной стороной. Это позволяет пользователям завершать сделки даже без ETH, но одновременно увеличивает риск злоупотребления подписями.
Анализ методов рыбалки
Ключ к фишинговой атаке заключается в использовании функции permit контракта Permit2. Эта функция позволяет пользователям авторизовывать другие адреса на использование своих токенов с помощью подписи. Получив подпись пользователя, злоумышленник может передать активы пользователя через контракт Permit2.
Процесс атаки следующий:
Стоит отметить, что Uniswap's Permit2 по умолчанию запрашивает неограниченный лимит разрешений, что еще больше увеличивает риск.
Рекомендации по предотвращению
Научитесь распознавать и понимать содержание подписи, особенно если это касается подписи, связанной с Permit.
Использование стратегии разделения горячих и холодных кошельков, интерактивный кошелек должен хранить лишь небольшую сумму средств.
При авторизации контракта Permit2 разрешайте только необходимую сумму или своевременно отменяйте избыточные разрешения.
Узнайте, поддерживает ли ваши токены функцию permit, будьте осторожны с соответствующими сделками.
Если вы, к сожалению, столкнетесь с атакой, и у вас есть активы на других платформах, необходимо разработать полноценный план по перемещению активов.
С расширением области применения Permit2, основанные на этом фишинговые атаки могут становиться все более частыми. Этот способ фишинга с использованием подписи крайне скрытен и труден для предотвращения, надеюсь, что читатели смогут повысить бдительность и поделиться соответствующими знаниями с большим числом людей, чтобы совместно защитить безопасность активов.